Para la mayoría de los profesionales de TI, el cambio a la nube ha sido una bendición. En lugar de proteger sus datos usted mismo, deje que los expertos en seguridad de Google o Microsoft los protejan. Pero cuando una sola clave robada puede permitir que los piratas informáticos accedan a datos en la nube de docenas de organizaciones, esa compensación comienza a sonar mucho más riesgosa.
El martes por la noche, Microsoft reveló que un grupo de piratas informáticos con sede en China, denominado Storm-0558, había hecho exactamente eso. El grupo, que se centra en el espionaje contra los gobiernos de Europa Occidental, había accedido a los sistemas de correo electrónico de Outlook basados en la nube de 25 organizaciones, incluidas varias agencias gubernamentales.
Esos objetivos abarcan agencias del gobierno de EE. UU., incluido el Departamento de Estado, según CNN, aunque los funcionarios de EE. UU. todavía están trabajando para determinar el alcance total y las consecuencias de las infracciones. Un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. dice que la violación, que fue detectada a mediados de junio por una agencia del gobierno de EE. UU., robó datos de correo electrónico no clasificados «de una pequeña cantidad de cuentas».
China ha estado pirateando implacablemente las redes occidentales durante décadas. Pero este último ataque usa un truco único: Microsoft dice que los piratas informáticos robaron una clave criptográfica que les permitió generar sus propios «tokens» de autenticación, cadenas de información destinadas a probar la identidad de un usuario, dándoles rienda suelta a docenas de cuentas de clientes de Microsoft.
“Confiamos en los pasaportes, y alguien robó una máquina de impresión de pasaportes”, dice Jake Williams, un ex pirata informático de la NSA que ahora enseña en el Instituto de Seguridad de Redes Aplicadas en Boston. “Para una tienda tan grande como Microsoft, con tantos clientes afectados, o que podrían haber sido afectados por esto, no tiene precedentes”.
En los sistemas en la nube basados en la web, los navegadores de los usuarios se conectan a un servidor remoto y, cuando ingresan credenciales como un nombre de usuario y una contraseña, reciben un poco de información, conocida como token, de ese servidor. El token sirve como una especie de tarjeta de identidad temporal que permite a los usuarios entrar y salir cuando lo deseen dentro de un entorno de nube y solo ocasionalmente vuelven a ingresar sus credenciales. Para garantizar que el token no pueda ser falsificado, se firma criptográficamente con una cadena única de datos conocida como certificado o clave que posee el servicio en la nube, una especie de sello de autenticidad infalsificable.
Microsoft, en su publicación de blog que revela las infracciones de Outlook en chino, ha descrito una especie de falla en dos etapas de ese sistema de autenticación. Primero, los piratas informáticos de alguna manera pudieron robar una clave que Microsoft usa para firmar tokens para usuarios de nivel consumidor de sus servicios en la nube. En segundo lugar, los piratas informáticos aprovecharon un error en el sistema de validación de tokens de Microsoft, que les permitió firmar tokens de nivel de consumidor con la clave robada y luego usarlos para acceder a sistemas de nivel empresarial. Todo esto ocurrió a pesar del intento de Microsoft de verificar las firmas de diferentes claves para esos diferentes grados de token.
Microsoft dice que ahora bloqueó todos los tokens que se firmaron con la clave robada y reemplazó la clave por una nueva, evitando que los piratas informáticos accedan a los sistemas de las víctimas. La empresa añade que también ha trabajado para mejorar la seguridad de sus “sistemas de gestión de claves” desde que se produjo el robo.
Pero aún se desconoce exactamente cómo una clave tan sensible, que permite un acceso tan amplio, podría ser robada en primer lugar. WIRED contactó a Microsoft, pero la compañía se negó a hacer más comentarios.
A falta de más detalles de Microsoft, una teoría de cómo ocurrió el robo es que la clave de firma del token no fue robada de Microsoft en absoluto, según Tal Skverer, quien dirige la investigación en la seguridad Astrix, que a principios de este año descubrió un problema de seguridad de token en la nube de Google. En configuraciones anteriores de Outlook, el servicio se aloja y administra en un servidor propiedad del cliente en lugar de en la nube de Microsoft. Eso podría haber permitido a los piratas informáticos robar la clave de una de estas configuraciones «locales» en la red de un cliente.